【レポート】AWSome Day Online Conference セッション3 ネットワークとセキュリティ AWSOME-01 #AWSSummit

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

この記事では、2022年5月25日(水)に行われたAWS Summit Online 2022のオンラインセッション　AWSOME-01『AWSome Day Online Conference セッション3 ネットワークとセキュリティ』をレポートします。

セッション概要

「AWSome Day Online Conference」は、AWS クラウドジャーニーのはじめの一歩として、AWS に関する基礎知識を約 3 時間で学ぶ AWS 初心者向けのウェビナーです。コンピューティング、ストレージ、データベース、ネットワークといった AWS の主要なサービスや、IoT、機械学習、ブロックチェーン、人工衛星や無線ネットワークなど次世代システムを支える、AWS のイノベーションについてもご紹介します。

AWSome Dayとは

AWSome Dayとは、AWS初学者向けの無償トレーニングイベントです。

現在は基本的にオンラインで行われており、誰でもどこからでもAWSの基本を3時間ほどで体系的に学ぶことが出来るとても素晴らしいトレーニングとなっています。

定期的に開催されているため、AWS初学者の方は是非参加してみてください。

AWSome Dayはいくつかのセッションパートに分かれているのですが、今回はその中でも個人的に興味のあった「セッション3 ネットワークとセキュリティ」を受講しました。

また、本セッションの動画は期間限定で視聴可能のようです。詳細は後述。

登壇者

アマゾン ウェブ サービス ジャパン合同会社

パートナーアライアンス統括本部 テクニカルイネーブルメント部 パートナーソリューションアーキテクト

高橋 敏行　氏

アマゾン ウェブ サービス ジャパン合同会社

AWS トレーニングサービス本部 AWS Academy Technical Program Manager

平賀 博司　氏

セッションリンク

※6月2日～6月8日の期間限定で動画を閲覧可能です。動画のURLは分かり次第追記します。

レポート

• ネットワーク
  • Amazon Virtual Private Cloud (Amazon VPC)
    • AWSクラウドのプライベートなネットワーク
    • EC2などのリソースよりも先に作るもの
    • 1つのVPCを更にサブネットと呼ばれる論理的な空間に分割する
      • 外部インターネットに繋がる空間 = パブリックサブネット
      • 外部インターネットに繋がらない空間 = プライベートサブネット
    • インターネットゲートウェイ
      • VPCと外部インターネットとの出入り口
    • AWSではネットワークセキュリティにおいて多層防御を採用している。
      • ネットワークACL、セキュリティグループといったファイアウォールでアクセス制御
      • ネットワークACL
        • サブネット単位でアクセス制御
        • 拒否したい通信を設定する
        • 第2防御
      • セキュリティグループ
        • EC2インスタンスレベル
        • 許可したい通信を設定する
        • 主とするファイアウォールはこちら
  • Elastic Load Balancing (ELB)
    • マネージド型のロードバランシングサービス
    • システムの耐障害性を高める
    • 接続方式は大きく分けて2つ
      • 外部ロードバランシング
      • 内部ロードバランシング
    • HTTPS対応
  • Route53
    • URLとサーバーを紐付ける、マネージド型のDNSサービス
    • 負荷分散機能あり
      • 複数のルーティングオプションから設定可能
• セキュリティ
  • セキュリティはAWSの最優先事項
  • 責任共有モデル
    • ユーザーとAWSで共に守っていくことが重要なので、責任分界点ではなく責任共有モデル
  • 認証と認可
    • AWS Identity and Access Management (IAM)がAWSの認証と認可を司る
  • AWS IAM
    • IAM コンポーネント
      • IAM ユーザー
        • AWSアカウント内のユーザー
      • IAM グループ
      • IAM ロール
        • ヘルメットのイメージ
        • EC2インスタンスなどのコンピューティングリソースに割り当てることで権限を付与
      • IAM ポリシー
        • Allow と Denyが両方書かれると、Denyが優先される。書く順番は関係ない
        • IAM ポリシーは、IAM ユーザー、IAM グループ、IAM ロールに割り当てることが出来る
  • S3ではリソースベースのアクセスコントロールも可能
  • アクセス状況の追跡
    • AWS CloudTrail
      • 設定することでAWSアカウントのユーザーアクティビティを追跡可能
      • ログファイルをS3バケットに送ることも可能
  • 設定内容のチェックとアドバイス
    • AWS Trusted Advisor
      • このサービスを利用することで、コスト削減、パフォーマンスの向上、セキュリティ強化などのチェックを行なってくれる

最後に

AWSome Day自体には初めて参加したのですが、AWSサービスの一見理解しづらい概念を講師の方が非常に平易な言葉で言い換えてくれていたため、初学者でも理解しやすいだろうなという印象を受けました。

また、紹介するサービスもかなり重要なものに絞られていた印象を受けました。（ネットワークはVPC, ELB, Route53、セキュリティはIAM, CloudTrail, Trusted Advisor, + FW系）

個人的にも知識の再確認となって良かったです。

またネットワークやセキュリティといった大きな節の終わりに知識確認クイズがあるのも知識が定着しやすくなるので良いですね。

以上、べこみんでした。